Ordinateur infecté
Résolu
lorenzodu01
Messages postés
129
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
j ai besoin d aide pour depanner quelqu un qui a un virus sur son ordi
Un virus apparement connu,il s agit de vundo (c:windows/system32/dayevino.dll)
la connexion internet foire aussi desormais
je voudrais savoir dans quel ordre je dois faire les choses car je l ai deja fait chez moi une fois aidé des forums de ccm
jme rappelle de hijackthis,rsit,malwarebytes ou combo fox mais je sais plus quel ordre c est
jvais devoir faire avec ma clef usb et me deplacer a partir de demain donc voila
merci de votre attention et votre aide
j ai besoin d aide pour depanner quelqu un qui a un virus sur son ordi
Un virus apparement connu,il s agit de vundo (c:windows/system32/dayevino.dll)
la connexion internet foire aussi desormais
je voudrais savoir dans quel ordre je dois faire les choses car je l ai deja fait chez moi une fois aidé des forums de ccm
jme rappelle de hijackthis,rsit,malwarebytes ou combo fox mais je sais plus quel ordre c est
jvais devoir faire avec ma clef usb et me deplacer a partir de demain donc voila
merci de votre attention et votre aide
A voir également:
- Ordinateur infecté
- Ordinateur qui rame - Guide
- Réinitialiser ordinateur - Guide
- Clavier de l'ordinateur - Guide
- # Sur ordinateur - Guide
- Pad ordinateur bloqué - Guide
39 réponses
il etait pas complet la?
bon ben j y retourne jcroyais que c etait son ordi qui bugait mais au fait c pareil ici
j ai ressaye de me remettre en mode "normal" mais rien n a change
bon ben j y retourne jcroyais que c etait son ordi qui bugait mais au fait c pareil ici
j ai ressaye de me remettre en mode "normal" mais rien n a change
Ok,
En effet, le site bugue. Sois patient.
Je ne comprends pas bien ta réponse :
j ai ressaye de me remettre en mode "normal" mais rien n a change
Cela veut-il dire que sous windows tu as toujours le même problème ( message , connexion au net ).
1/ Poste le rapport de malwarebytes via le site indiqué
2/ Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
En effet, le site bugue. Sois patient.
Je ne comprends pas bien ta réponse :
j ai ressaye de me remettre en mode "normal" mais rien n a change
Cela veut-il dire que sous windows tu as toujours le même problème ( message , connexion au net ).
1/ Poste le rapport de malwarebytes via le site indiqué
2/ Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...
Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.
Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.
# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).
Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.
A+
quand je dis en mode normal c est a dire pas en mode sans echec ,un redemarrage normal
ca met comme avant (zpn500dll introuvable puis dll error)
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj200911/cijTDpRNeI.txt
ca met comme avant (zpn500dll introuvable puis dll error)
voici le lien
http://www.cijoint.fr/cjlink.php?file=cj200911/cijTDpRNeI.txt
Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-11-26 18:47:41
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 61 GB (41%) free of 148 GB
Total RAM: 511 MB (58% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:01, on 26/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.net-studio.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\C1X55suMH.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AntiVirus Plus] "C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\Compaq_Propriétaire\Application Data\AntiVirus Plus\AntiVirus Plus.70367224.dll", start 70367224 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AntiVirus Plus] "C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\Compaq_Propriétaire\Application Data\AntiVirus Plus\AntiVirus Plus.70367224.dll", start 70367224 (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O20 - AppInit_DLLs: movezisa.dll c:\windows\system32\maguhugi.dll
O21 - SSODL: wejogebiv - {0635f3b9-e06c-4933-8e74-53a649aeee3f} - c:\windows\system32\maguhugi.dll (file missing)
O22 - SharedTaskScheduler: mujuzedij - {0635f3b9-e06c-4933-8e74-53a649aeee3f} - c:\windows\system32\maguhugi.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Google Update (gupdate1c9da1047f8ddd6) (gupdate1c9da1047f8ddd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Run by Administrateur at 2009-11-26 18:47:41
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 61 GB (41%) free of 148 GB
Total RAM: 511 MB (58% free)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:48:01, on 26/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\trend micro\Administrateur.exe
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = search.net-studio.org
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - c:\Program Files\Fichiers communs\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\C1X55suMH.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [AntiVirus Plus] "C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\Compaq_Propriétaire\Application Data\AntiVirus Plus\AntiVirus Plus.70367224.dll", start 70367224 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AntiVirus Plus] "C:\WINDOWS\system32\rundll32.exe" "C:\Documents and Settings\Compaq_Propriétaire\Application Data\AntiVirus Plus\AntiVirus Plus.70367224.dll", start 70367224 (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://kiw.imgag.com/imgag/cp/install/crusher-kiwen.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxmultijoueurs.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O20 - AppInit_DLLs: movezisa.dll c:\windows\system32\maguhugi.dll
O21 - SSODL: wejogebiv - {0635f3b9-e06c-4933-8e74-53a649aeee3f} - c:\windows\system32\maguhugi.dll (file missing)
O22 - SharedTaskScheduler: mujuzedij - {0635f3b9-e06c-4933-8e74-53a649aeee3f} - c:\windows\system32\maguhugi.dll (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Program Files\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Service Google Update (gupdate1c9da1047f8ddd6) (gupdate1c9da1047f8ddd6) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~2.EXE
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Fichiers communs\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Program Files\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Planificateur LiveUpdate automatique - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok,
Tu es certain de l'orthographe du fichier .dll ?
C'est important pour savoir si il est possible de la remplacer ou si c'est un élément infectieux à nettoyer.
Et après le message, as-tu essayé de te connecter au net ?
remarques-tu d'autres symptomes ?
Passe au rapport RSIT.
A+
Tu es certain de l'orthographe du fichier .dll ?
C'est important pour savoir si il est possible de la remplacer ou si c'est un élément infectieux à nettoyer.
Et après le message, as-tu essayé de te connecter au net ?
remarques-tu d'autres symptomes ?
Passe au rapport RSIT.
A+
voila j ai envoye les deux rapports rsit log et info je vais essayer de redemarer normalement voir ce que ca donne
bon ben j ai essaye de redemarrer et voila les symptomes que j ai pu observes:
a l allumage deja le ventillo s emballe grave
ca m a demande d executer antimalware bytes,le fichier c1x555.. celui que tu m a envoye en supplement
j attends 20 secondes et la mesage wlanutl.exe:
"cette aplication n a pas pa demarrer car ZPDN50.dll est introuvable "
je met ok
j essaie d ouvrir iexplorer et la message rundll :
"erreur de chargement de C:doc/compaq proprietaire/application data/antivirus+.70367224.dll"module introuvable
je clique sur ok et la c la fin plus rien ne reponds meme en etant patient le ventillo s emballe et tous mes programmes defilent en erreur avec message terminer maintanant"
voila
a l allumage deja le ventillo s emballe grave
ca m a demande d executer antimalware bytes,le fichier c1x555.. celui que tu m a envoye en supplement
j attends 20 secondes et la mesage wlanutl.exe:
"cette aplication n a pas pa demarrer car ZPDN50.dll est introuvable "
je met ok
j essaie d ouvrir iexplorer et la message rundll :
"erreur de chargement de C:doc/compaq proprietaire/application data/antivirus+.70367224.dll"module introuvable
je clique sur ok et la c la fin plus rien ne reponds meme en etant patient le ventillo s emballe et tous mes programmes defilent en erreur avec message terminer maintanant"
voila
bon ben la je vais retourner chez moi je reviendrais chez eux demain donc tu peux m indiquer la future etape comme ca je pourrais faire ca tranquille si tu veux
merci :)
merci :)
Ok,
désolè pour le test mais je voulais savoir le nom de fichier .dll.
Le PC est encore bien infecté.
En mode sans echec avec prise en charge réseau :
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
désolè pour le test mais je voulais savoir le nom de fichier .dll.
Le PC est encore bien infecté.
En mode sans echec avec prise en charge réseau :
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.
Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
ok demain jmoccupe de ca mais comment je desactive les protections?
si dans la barre d outils pour norton ca suffit pour norton?
pour le pare feu jefais connections dansdemarrer puis proprietes puis avance et je desactive de la c est ca?
et pour le reste?
si dans la barre d outils pour norton ca suffit pour norton?
pour le pare feu jefais connections dansdemarrer puis proprietes puis avance et je desactive de la c est ca?
et pour le reste?
Re,
En mode sans échec, sont lancés le minimum de logiciels.
Donc, tes protections seront désactivées.
Je n'y avais pas pensé mais essaie de limiter les risques de réinfection en ne te connectant que pour prendre connaissance des consignes.
Il reste encore des infections mais on a supprimé le plus gros.
A+
En mode sans échec, sont lancés le minimum de logiciels.
Donc, tes protections seront désactivées.
Je n'y avais pas pensé mais essaie de limiter les risques de réinfection en ne te connectant que pour prendre connaissance des consignes.
Il reste encore des infections mais on a supprimé le plus gros.
A+
slt
y a du nouveau
un informaticien est passé et il a pense que en reinstallant tout ca fonctionnerait
alors il a fait ca en faisant f12 il a tout remis a neuf et internet marche desormais meme sans etre en mode sans echec
mais ce que je trouve bizarre c est que le message apparait toujours au demarrage" cette aplication n a pas pa demarrer car ZPDN50.dll est introuvable"
donc je sais pas ce que tu en penses,si il a bien fait ou pas
y a du nouveau
un informaticien est passé et il a pense que en reinstallant tout ca fonctionnerait
alors il a fait ca en faisant f12 il a tout remis a neuf et internet marche desormais meme sans etre en mode sans echec
mais ce que je trouve bizarre c est que le message apparait toujours au demarrage" cette aplication n a pas pa demarrer car ZPDN50.dll est introuvable"
donc je sais pas ce que tu en penses,si il a bien fait ou pas
Re,
Une réinstall sur une installation existante recrée un dossier Windows.0 ou écrase l'existant.
Cela a en partie régler le problème puisque la base de registre a été réécrite et donc les entrées infectieuses sont absentes.
Le problème est que les fichiers infectés sont toujours présents.
Innofensifs ? certains oui et d'autres non.
Il faudrait déjà le vérifier puis les supprimer.
Pour le fichier ZDPN50.DLL, qu'en dit l'informaticien ?
Il te fait faire une manip et après ?
Je me renseigne.
1/ recommence la manip avec RSIT, stp.
Poste-le via http://cijoint.fr
2/ fais la manip suivante pour retrouver les infos sur ZDPN50.DLL
Télécharge OAD et enregistre le sur ton bureau
http://sosvirus.changelog.fr/OAD.exe
• Double clique sur le OAD pour le lancer.
• dans la fenêtre qui va s'ouvrir, tape le nom de fichier à rechercher, puis valide par Entrée
Nom du fichier : ZDPN50.DLL
• Choisis le type de recherche : sélectionne l'option 6 puis valide par Entrée.
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
Fais un copier / coller de ce rapport dans ton prochain post.
Note : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
A+
Une réinstall sur une installation existante recrée un dossier Windows.0 ou écrase l'existant.
Cela a en partie régler le problème puisque la base de registre a été réécrite et donc les entrées infectieuses sont absentes.
Le problème est que les fichiers infectés sont toujours présents.
Innofensifs ? certains oui et d'autres non.
Il faudrait déjà le vérifier puis les supprimer.
Pour le fichier ZDPN50.DLL, qu'en dit l'informaticien ?
Il te fait faire une manip et après ?
Je me renseigne.
1/ recommence la manip avec RSIT, stp.
Poste-le via http://cijoint.fr
2/ fais la manip suivante pour retrouver les infos sur ZDPN50.DLL
Télécharge OAD et enregistre le sur ton bureau
http://sosvirus.changelog.fr/OAD.exe
• Double clique sur le OAD pour le lancer.
• dans la fenêtre qui va s'ouvrir, tape le nom de fichier à rechercher, puis valide par Entrée
Nom du fichier : ZDPN50.DLL
• Choisis le type de recherche : sélectionne l'option 6 puis valide par Entrée.
OAD va maintenant rechercher le fichier. Laisse le travailler jusqu'à ce qu'il en ai terminé.
Le rapport de recherche s'affichera automatiquement à dès qu'il en aura terminé.
Fais un copier / coller de ce rapport dans ton prochain post.
Note : Suivant la taille des disques dur cette recherche peut prendre plusieurs minutes. Sois patient(e)
A+
Bonsoir,
Verni29, j'ai regarder son log MBAM, ==> "no action taken" --> faute d'innattention ? ou tactique :D ?
A +
Verni29, j'ai regarder son log MBAM, ==> "no action taken" --> faute d'innattention ? ou tactique :D ?
A +
Salut, limon8
Citation :
Verni29, j'ai regarder son log MBAM, ==> "no action taken"
Je vois que tu poses une bonne question.
Regardons donc de plus près les rapports.
Pour suivre l'évolution de l'infection, compare les rapports MBAM puis le rapport RSIT qui suit ce rapport.
MBAM : 3 fichiers vraiment infectieux et chargés en mémoire.
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\movezisa.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\dayevino.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lewiyidi.dll (Trojan.Vundo) -> Delete on reboot.
Ils ne se retrouvent plus dans les fichiers infectieux détectés par RSIT :
2009-11-25 11:53:30 ----AH---- C:\WINDOWS\system32\BITB.tmp
2009-11-25 11:53:29 ----AH---- C:\WINDOWS\system32\BITA.tmp
2009-11-25 11:52:10 ----AH---- C:\WINDOWS\system32\BIT9.tmp
2009-11-24 19:16:13 ----SH---- C:\WINDOWS\system32\rugobiho.dll
2009-11-24 19:16:13 ----SH---- C:\WINDOWS\system32\bulimane.dll
2009-11-24 19:15:55 ----SH---- C:\WINDOWS\system32\dijuboru.dll
2009-11-22 12:40:29 ----SH---- C:\WINDOWS\system32\bulopazo.dll
2009-11-19 16:58:50 ----SH---- C:\WINDOWS\system32\kagavuva.dll
2009-11-19 16:55:43 ----A---- C:\WINDOWS\system32\tdlcmd.dll
2009-11-14 08:40:31 ----SH---- C:\WINDOWS\system32\tadagagu.dll
2009-11-14 08:40:31 ----SH---- C:\WINDOWS\system32\pafiloha.dll
2009-11-11 16:56:30 ----A---- C:\WINDOWS\system32\6134,149.exe
de plus, MBAM donnait des indications sur des entrées de la base registre infectieuses :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\midiyuyos
Et RSIT ne donne plus cette valeur :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ccApp"=c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [2007-02-21 58984]
"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2009-05-26 413696]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\C1X55suMH.exe [2009-11-26 1312080]
Oui, il y a bien supprimé les infections avec MBAM.
L'infection Vundo crée bien souvent beaucoup de fichiers. MBAM ne les a pas tous supprimés.
Comme je le dis à Lorenzodu01, il faut les supprimer.
@+
Citation :
Verni29, j'ai regarder son log MBAM, ==> "no action taken"
Je vois que tu poses une bonne question.
Regardons donc de plus près les rapports.
Pour suivre l'évolution de l'infection, compare les rapports MBAM puis le rapport RSIT qui suit ce rapport.
MBAM : 3 fichiers vraiment infectieux et chargés en mémoire.
Module(s) mémoire infecté(s):
C:\WINDOWS\system32\movezisa.dll (Trojan.Vundo) -> Delete on reboot.
c:\WINDOWS\system32\dayevino.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\lewiyidi.dll (Trojan.Vundo) -> Delete on reboot.
Ils ne se retrouvent plus dans les fichiers infectieux détectés par RSIT :
2009-11-25 11:53:30 ----AH---- C:\WINDOWS\system32\BITB.tmp
2009-11-25 11:53:29 ----AH---- C:\WINDOWS\system32\BITA.tmp
2009-11-25 11:52:10 ----AH---- C:\WINDOWS\system32\BIT9.tmp
2009-11-24 19:16:13 ----SH---- C:\WINDOWS\system32\rugobiho.dll
2009-11-24 19:16:13 ----SH---- C:\WINDOWS\system32\bulimane.dll
2009-11-24 19:15:55 ----SH---- C:\WINDOWS\system32\dijuboru.dll
2009-11-22 12:40:29 ----SH---- C:\WINDOWS\system32\bulopazo.dll
2009-11-19 16:58:50 ----SH---- C:\WINDOWS\system32\kagavuva.dll
2009-11-19 16:55:43 ----A---- C:\WINDOWS\system32\tdlcmd.dll
2009-11-14 08:40:31 ----SH---- C:\WINDOWS\system32\tadagagu.dll
2009-11-14 08:40:31 ----SH---- C:\WINDOWS\system32\pafiloha.dll
2009-11-11 16:56:30 ----A---- C:\WINDOWS\system32\6134,149.exe
de plus, MBAM donnait des indications sur des entrées de la base registre infectieuses :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\midiyuyos
Et RSIT ne donne plus cette valeur :
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"ccApp"=c:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe [2007-02-21 58984]
"QuickTime Task"=C:\Program Files\QuickTime\qttask.exe [2009-05-26 413696]
"Malwarebytes Anti-Malware (reboot)"=C:\Program Files\Malwarebytes' Anti-Malware\C1X55suMH.exe [2009-11-26 1312080]
Oui, il y a bien supprimé les infections avec MBAM.
L'infection Vundo crée bien souvent beaucoup de fichiers. MBAM ne les a pas tous supprimés.
Comme je le dis à Lorenzodu01, il faut les supprimer.
@+
ahah!
desole pour l absence mais j etais de nuit et j ai fait des horaires de fou cette semaine(12h22h)et eux bossent tte la journee donc je m en suis pas trop preoccupe
desole
combofix c est pour les dd externes c ca?mais elle en a jamais eu donc je sais pas si ca sert
jviens d aller voir vite fait chez eux aujour dhui et ya des nouveaux soucis
l informaticien mavait dit que le Zp500 c etait pas grave mais maintenant plus moyen de se connecter a internet a cause de norton qui demande une clef d activation carrement inexistante sur les bons de commandes donc c bien la merde
pendant une semaine ca marchait bien apparement mais la avec le nouveau souci plus moyen d aller sur le net donc je vais naviguer un peu sur le net deja pour essayer de resoudre ce souci de renouvellement norton en priorite car je peux plus me connecter de chez moi non plus car je suis en wifi et quand il pleut ca marche pas :(
encore desole
a+
desole pour l absence mais j etais de nuit et j ai fait des horaires de fou cette semaine(12h22h)et eux bossent tte la journee donc je m en suis pas trop preoccupe
desole
combofix c est pour les dd externes c ca?mais elle en a jamais eu donc je sais pas si ca sert
jviens d aller voir vite fait chez eux aujour dhui et ya des nouveaux soucis
l informaticien mavait dit que le Zp500 c etait pas grave mais maintenant plus moyen de se connecter a internet a cause de norton qui demande une clef d activation carrement inexistante sur les bons de commandes donc c bien la merde
pendant une semaine ca marchait bien apparement mais la avec le nouveau souci plus moyen d aller sur le net donc je vais naviguer un peu sur le net deja pour essayer de resoudre ce souci de renouvellement norton en priorite car je peux plus me connecter de chez moi non plus car je suis en wifi et quand il pleut ca marche pas :(
encore desole
a+
Bonsoir,
Il y avait aussi ceci dans les rapports précédents :
2009-11-19 16:55:43 ----A---- C:\WINDOWS\system32\tdlcmd.dll
Une infection qui peut être compliquée à enlever.
Je ne sais pas exactement ce qu'a fait l'informaticien.
F12 --> sorcément , c'est une réinstallation d'usine mais j'aimerais savoir.
Pour info, non Combofix, ce n'est pas pour uniquement les supports amovibles.
C'est un outil très puissant mais à ne pas utiliser sans recommandation et un suivi par quelqu'un connaissant cet outil.
Je ne garderais pas indéfiniment ce sujet dans mes suivis.
Il faudrait un rapport RSIT pour connaitre l'état du PC.
A+
Il y avait aussi ceci dans les rapports précédents :
2009-11-19 16:55:43 ----A---- C:\WINDOWS\system32\tdlcmd.dll
Une infection qui peut être compliquée à enlever.
Je ne sais pas exactement ce qu'a fait l'informaticien.
F12 --> sorcément , c'est une réinstallation d'usine mais j'aimerais savoir.
Pour info, non Combofix, ce n'est pas pour uniquement les supports amovibles.
C'est un outil très puissant mais à ne pas utiliser sans recommandation et un suivi par quelqu'un connaissant cet outil.
Je ne garderais pas indéfiniment ce sujet dans mes suivis.
Il faudrait un rapport RSIT pour connaitre l'état du PC.
A+
